Erkennung von ELPACO-Team Ransomware-Angriffen: Hacker nutzen Atlassian Confluence Schwachstelle (CVE-2023-22527) aus, um RDP-Zugriff zu erhalten und RCE zu aktivieren
Inhaltsverzeichnis:
In der sich schnell entwickelnden Ransomware-Landschaft von heute beschleunigen Bedrohungsakteure ihre Taktiken, um Zugang zu erlangen und Schadprogramme in alarmierendem Tempo zu verbreiten. Immer häufiger nutzen Angreifer bekannte Schwachstellen als Einstiegspunkte, wie in einem kürzlichen Angriff zu sehen war, bei dem Gegner die Sicherheitslücke CVE-2023-22527, eine schwerwiegende Template-Injection-Schwachstelle in Atlassian Confluence, ausgenutzt haben, um ein internetexponiertes System zu kompromittieren. Nur 62 Stunden später führten die Angreifer die nächste Phase aus: die Bereitstellung der ELPACO-Team- Ransomware, einer Mimic-Variante, die sich über RDP und SMB-Shares auf kritische Backup- und Fileserver richtete.
Erkennung der Ausnutzung von CVE-2023-22527 zur Installation der ELPACO-Team Ransomware
Laut Sophos stiegen die durchschnittlichen Kosten für die Wiederherstellung nach einem Ransomware-Angriff im Jahr 2024 auf 2,73 Millionen Dollar—ein erstaunlicher Anstieg von 500 % gegenüber dem Vorjahr. Dieser starke Anstieg unterstreicht die wachsenden finanziellen Auswirkungen von Cyberangriffen und die dringende Notwendigkeit proaktiver Verteidigungsstrategien. Um Bedrohungen wie den jüngsten ELPACO-Team-Ransomware-Vorfall voraus zu sein, benötigen Cyber-Verteidiger zuverlässige, rechtzeitige CTI und umsetzbare Erkennungsinhalte, um Angreifern stets einen Schritt voraus zu sein.
Registrieren Sie sich für die SOC Prime Plattform und greifen Sie auf eine spezielle Sammlung von Sigma-Regeln zu, die sich mit der jüngsten Kampagne befassen, die die Schwachstelle in Atlassian Confluence (CVE-2023-22527) zur Verbreitung der ELPACO-Team Ransomware ausnutzte. Kuratierte Erkennungsinhalte werden von einer kompletten Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung unterstützt. Drücken Sie einfach auf den Entdeckungen erkunden Button unten und tauchen Sie sofort in einen relevanten Inhaltstapel ein.
Darüber hinaus können Sicherheitsfachleute Erkennungsinhalte zur spezifischen Ausnutzung von CVE-2023-22527 finden, indem sie den Threat Detection Marketplace mit dem entsprechenden CVE-ID-Tagdurchsuchen. Verteidiger können auch die gesamte Sammlung von Erkennungsregeln zur Schwachstellenausnutzung erkunden, indem sie mit dem allgemeineren „CVE”-Tag suchen oder das “Ransomware”-Tag anwenden, um auf eine Sammlung von Erkennungsregeln zuzugreifen, die Ransomware-Angriffe weltweit abdecken.
Alle Regeln auf der SOC Prime Plattform sind mit mehreren SIEM-, EDR- und Datensee-Lösungen kompatibel und werden auf das MITRE ATT&CK®-Frameworkabgebildet. Zusätzlich ist jede Regel mit detaillierten Metadaten gepackt, einschließlich Bedrohungsinformationen Referenzen, Angriffstimenlines, Einschätzungsempfehlungen und mehr.
Darüber hinaus könnten Sicherheitsexperten die Bedrohungsuntersuchung mit Uncoder AI – einer privaten IDE & Co-Pilot für von Bedrohungsinformationen geleitete Erkennungstechnik – nun völlig kostenlos und ohne Token-Limits auf KI-Funktionen verfügbar, optimieren. Generieren Sie Erkennungsalgorithmen aus Rohbedrohungsberichten, ermöglichen Sie schnelle IOC-Scans in leistungsoptimierte Abfragen, sagen Sie ATT&CK-Tags voraus, optimieren Sie Abfragecode mit KI-Tipps und übersetzen Sie diesen in mehrere SIEM-, EDR- und Datensee-Sprachen.
Analyse zu CVE-2023-22527: Angriffe durch ELPACO-Team Ransomware
Verteidiger haben kürzlich eine ausgeklügelte Angriffskampagne identifiziert, bei der Bedrohungsakteure eine bekannte Schwachstelle in einem ungepatchten, internet-exponierten Atlassian Confluence Server nutzten, um eine Ransomware-Operation zu starten.
Der Verstoß, der sich im Frühsommer 2024 ereignete, umfasste die Ausnutzung von CVE-2023-22527, einer Template-Injection-Schwachstelle mit einem CVSS-Score von 10,0. Der Fehler betrifft ältere Versionen des Confluence Data Centers und Servers (von 8.0.x bis 8.4.x sowie 8.5.0 bis 8.5.3) und ermöglicht RCE und unautorisierten Zugriff. Bemerkenswert ist, dass die Angreifer etwa 62 Stunden nach der ersten Kompromittierung abwarteten, bevor sie Ransomware einsetzten, was auf einen vorsätzlichen und verdeckten Ansatz hinweist.
Die Infektionskette begann mit der Ausnutzung von CVE-2023-22527 auf einem Confluence-Server. Die Netzwerkanalyse zeigte die verwendete Technik, bei der Angreifer zunächst einen „whoami„-Befehl ausführten, um den Zugriff zu testen, bevor sie schädlichere Nutzlasten lieferten. Laut der DFIR-Berichtsforschung, führten die Angreifer, sobald sie drinnen waren, wiederholt eine Reihe von Aktionen aus, wie das Bereitstellen von Metasploit -Payloads, das Herstellen von C2-Verbindungen und das Installieren von AnyDesk , um den Zugriff aufrechtzuerhalten. Sie eskalierten dann die Berechtigungen, extrahierten Anmeldeinformationen mit Tools wie Mimikatz, aktivierten RDP-Zugriff und bewegten sich lateral im Netzwerk. In den letzten Phasen der Angriffskette setzten die Angreifer ELPACO-Team-Ransomware ein, eine bekannte Variante der Mimic-Ransomware. Obwohl die Angreifer bestimmte Ereignisprotokolle löschten, gab es während des Angriffs keine Hinweise auf wesentliche Datenexfiltration.
Ein wesentlicher Aspekt der Kampagne war die Wiederverwendung einer einzigen IP-Adresse (45.227.254.124) sowohl zum Scannen nach Schwachstellen als auch später als selbstgehosteter AnyDesk-Server, was auf eine sorgfältig vorbereitete bösartige Infrastruktur hinweist.
Während des gesamten Angriffs wurde ein bösartiges aus ausführbares Programm in einem ungewöhnlichen Verzeichnis innerhalb des temporären Ordners des NetworkService-Profils platziert. Es hatte nur minimale Funktionsimporte (nur VirtualAlloc and ExitProcess) und nutzte Hashing, um Windows-API-Funktionen zur Laufzeit zu verschleiern und zu lösen, eine Technik, die häufig in Metasploit-Payloads zu sehen ist.
Bemerkenswert zeigten die Angreifer fortschrittliche Persistenzstrategien, indem sie mehrere Backdoors bereitstellten, um den fortlaufenden Zugriff aufrechtzuerhalten. Unmittelbar nach der Kompromittierung des Systems installierten sie die AnyDesk-Remote-Access-Software auf dem Confluence-Server, speicherten die ausführbare Datei im Installationsverzeichnis und richteten sie für den unbeaufsichtigten Zugriff mit dem Passwort „P@ssword1“ ein, wodurch der erneute Zugriff ohne Benutzeraktion ermöglicht wurde.
Um ihren Stand zu festigen, erstellten die Gegner ein lokales Administratorkonto namens „noname“ mit dem Passwort „Slepoy_123“ über ein automatisiertes Batch-Skript (u1.bat). Das Skript nutzte WMIC, um Benutzer zu identifizieren, das Konto der Administratorgruppe hinzuzufügen und das Passwort nie ablaufen zu lassen. Das Konto wurde während des Angriffs dreimal erstellt, was auf eine systematische Anstrengung hinweist, den Zugriff aufrechtzuerhalten, selbst wenn eine Backdoor entfernt wurde. Zusätzlich aktivierten die Hacker RDP, indem sie Registrierungseinstellungen änderten und Firewall-Regeln anpassten. Dadurch konnten sie Standardsicherheitsmethoden umgehen und mehrere Zugangswege aufrechterhalten, selbst wenn die ursprüngliche Schwachstelle schließlich gepatcht wurde.
Bemerkenswert ist, dass die neuesten unterstützten Versionen von Confluence Data Center und Server nicht von dieser Schwachstelle betroffen sind, da sie durch routinemäßige Versionsupdates behoben wurde. Dennoch rät der Anbieter allen Kunden dringend, auf die neueste Version zu aktualisieren, um ihre Instanzen vor anderen nicht-kritischen Problemen zu schützen, die im Januar-Sicherheitsbulletin.
hervorgehoben werden. Die erhöhte Raffinesse der in dieser Kampagne verwendeten Methoden der Gegner, von der Ausnutzung eines ungepatchten Confluence-Servers bis zur Bereitstellung von Ransomware nach verdeckter lateraler Bewegung, unterstützt durch den Einsatz fortschrittlicher Verteidigungsausweichtechniken, erfordert von den Verteidigern eine ultra-schnelle Reaktionsfähigkeit. Potenzielle CVE-2023-22527-Minderungsmaßnahmen umfassen zeitnahes Patchen, das kontinuierliche Überwachen ungewöhnlicher Systemaktivitäten und das Härten von Remote-Zugriffstools wie AnyDesk, um proaktiv ähnliche hochwirksame Angriffe abzuwehren. SOC Prime Plattform kuratieren eine komplette Produktsuite, unterstützt von KI, Automatisierung und verwertbaren Bedrohungsinformationen, um Sicherheitsteams zu befähigen, Angriffe mit hoher Sichtbarkeit und die komplexesten Bedrohungen abzuwehren, wenn jede Sekunde zählt.
